SEGURIDAD

WEB
Bernardo Alarcos Alczar


MAESTRA EN TECNOLOGAS DE LA INFORMTICA EMPRESARIAL

UNAN-LEN (NICARAGUA)
JULIO-2014

Colaboran:

1. Introduccin.

El objetivo este curso es examinar los procedimientos y tcnicas que actualmente

posibilitan el anlisis y la implantacin de un sitio web corporativo seguro. Para
conseguir este objetivo se debe previamente conocer la infraestructura de los
servicios web y las amenazas a las que est expuesta. Por ello en el curso se
estructura en tres partes:
Introduccin a las infraestucturas web en las que se pretende analizar y
revisar los conocimientos bsicos relacionados con la tecnologa web.
Anlisis de las principales amenazas a las que estn sometidas las
infraestructuras web. Y mecanismos de defensa y actuacin ante las
amenazas. Tcnicas de hardering de los componentes de la infraestructura
(por ejemplo: apache server, mysql, php)
Metodologas y buenas prcticas utilizadas para gestionar la seguridad de
una infraestructura web.

2. Capacidades.

Se pretende con este cuso que el alumno adquiera las siguientes capacidades:
Conocer los diferentes componentes de una arquitectura web y las
principales amenazas.
Saber aplicar metodologas para gestionar la seguridad de una
infraestructura web.
Saber utilizar herramientas de auditora web.
Saber utilizar herramientas y procedimientos de defensa y respuesta frente
a ataques de seguridad.

3. Contenidos.

1. Introduccin a la seguridad en infraestructuras Web:

a. Conceptos web: http, html, css, bases de datos, Ajax, lenguajes,
frameworks de desarrollo.
b. Servidores y Clientes.
c. Aplicaciones.
d. Amenazas de seguridad.
e. Herramientas y tcnicas de descubrimiento, prevencin y defensa.


2. Ataques y defensa de las principales amenazas:
a. Inyeccin SQL
b. Autenticacin y gestin de sesiones.
c. Cross-Site-Scripting XSS.
d. Redirecciones a referencias inseguras.
e. Configuracin de seguridad.
f. Exposicin de datos sensibles en web.
g. Aplicacin adecuada de control de acceso.
h. CSFR.
i. Componentes con vulnerabilidades.
j. Redirecciones.
k. Denegacin de servicio.

l. Prevencin y ataques.
m. Ingeniera social.

3. Gestin de la seguridad y Auditoras.
a. Metodologas.
b. Auditoras.
c. Anlisis de riesgos.
d. Polticas de seguridad.
e. Plan de recuperacin.

En el transcurso de las sesiones el alumno analizar diferentes herramientas y
tcnicas para evaluar la seguridad y debilidades y para proteger los sistemas. Esto
incluye configuracin de los sistemas, evaluacin de vulnerabilidades,
configuracin de sistemas firewall e IDS, herramientas de auditorias.

4. Planificacin temporal.
El curso se planifica en 8 sesiones de trabajo. Cada sesin tendr una parte de
contenido tericos y una parte prctica. La siguiente tabla muestra la distribucin
de contenidos por sesin.

Sesin Tipo

1
Teora
Introduccin a la seguridad web
Prctica
Configuracin del entorno de
laboratorio y familiarizacin de
herramientas.
2
Teora
Anlisis de Ataques y Defensa.
Tcnicas de Hardering.
Prctica
3
Teora
Anlisis de Ataques y Defensa.
Autenticacin y control de acceso.
Prctica
4
Teora
Anlisis de Ataques y Defensa.
Ejemplo: Inyeccin de datos.
Prctica
5
Teora
Anlisis de Ataques y Defensa.
Ejemplo: Cross Site Scripting (XSS)
Prctica
6
Teora
Anlisis de Ataques y Defensa.
Cross Site Request Forgery
Prctica
7
Teora
Gestin de la seguridad y auditoras
Prctica
Prcticas de testing.
Configuracin segura.
8
Teora
Gestin de la seguridad y auditoras.
Prueba de evaluacin:
Test de conocimientos.
Revisin de pruebas no superadas previamente.

5. Metodologa.

La metodologa consistir en sesiones tericas en las que se revisarn los

conocimientos relacionados con los diferentes temas y sesiones prcticas en las
que se usar herramientas de ataque para analizar cmo funcionan los ataques y
se pondrn en prctica mecanismo para poder detectar las potenciales amenazas
y reducir el riesgo. No se pretende abordar el estudio de todos las amenazas
posibles de seguridad sino adquirir la prctica en la metodologa para poder
analizar y controlar cualquier tipo de amenaza.

Algunas de las herramientas que podrn ser utilizadas en las sesiones prcticas
son:

Herramientas de ataque, deteccin y defensa:
o Kali: ZAP, WebScarab, Metaspolit, Nikto, Nessus
o Mod-Security: WAF
o OWASP-CSR
o SET

Plataformas de WEB no seguras:
o OWASP-BWA
Web Goat
DVWA

6. Evaluacin

Para valorar las capacidades de curso se utilizarn los siguientes criterios de

evaluacin:
Conocer los diferentes componentes de una arquitectura web y las
amenazas de seguridad a las que estn expuestas.
Sabe aplicar la metodologa presentada en el curso para gestionar la
seguridad de una infraestructura web.
Sabe utilizar las herramientas de auditora web vistas en el curso.
Entiende los ataques vistos en el curso y sabe utilizar herramientas y
procedimientos de defensa y respuesta.

Para evaluar si el alumno ha adquirido las capacidades se calificar el grado de
cumplimiento en las siguientes actividades relacionadas con los criterios de
evaluacin:
El trabajo de las actividades prcticas del alumno (tendr un peso del 60%
de la valoracin final).
Se realizar una prueba final de tipo test con preguntas de conceptos vistos
en el curso (tendr un peso del 40% en la valoracin final).

El alumno debe superar satisfactoriamente todas la pruebas para poder
considerarse que ha adquirido las competencias. Si no ha superado alguna de las
actividades durante la planificacin del curso, tendr la oportunidad de demostrar
que la ha superado hasta el da de la prueba final.


7.

Libros recomendados

The Basics of Web Hacking, Josh Pauli, Ed. Syngress

Hacking Exposed Web Applications, 3rd Edition; Scambray Joel, Liu

Vincent, Sima Caleb; Ed. McGraw-Hill

Web Application Defender's Cookbook: Battling Hackers and

Protecting Users; Ryan C. Barnett; Jeremiah Barnett; Ed. John Wiley &
Sons

Estos libros constituyen lectura recomendada, aunque no son necesarios para el
seguimiento de la asignatura. En internet hay suficientes referencias de acceso
libre para poder profundizar en cada uno de los aspectos que se vean durante el
curso.

8. Enlaces recomendados.

Sin pretender que sea una lista completa ni la mejor seleccin de artculos, se
presenta una lista de enlaces relacionados con la temtica del curso. En la
documentacin se podrn enlaces ms especficos relacionados con los temas
tratandos.

Enlaces genricos seguridad:
https://www.owasp.org/index.php
http://www.sans.org
http://www.us-cert.gov
http://cert.inteco.es/
http://www.hispasec.com/
http://www.kriptopolis.com/


Buenas prcticas en desarrollo de cdigo:
https://phpbestpractices.org/
http://www.tutorialized.com/tutorials/PHP/Security/1
http://www.cyberciti.biz/tips/php-security-best-practices-tutorial.html


Hardering
Ubuntu
http://www.thefanclub.co.za/how-to/how-secure-ubuntu-1204-lts-server-
part-1-basics
http://www.seleads.com/webmastering/how-to-harden-an-ubuntu-linux-
installation/
Apache

http://chandank.com/security/10-best-practices-to-secure-and-harden-
your-apache-web-server
http://httpd.apache.org/docs/current/misc/security_tips.html
http://resources.infosecinstitute.com/hacker-proofing-apache-php-
configuration/
http://www.openlogic.com/wazi/bid/188105/How-to-Secure-Your-
Apache-Web-Server
http://web-server-configuration.blogspot.com.es/2012/01/apache-web-
server-security-best.html
http://www.tecmint.com/apache-security-tips/

MySQL

http://www.securethelock.com/2014/01/09/12-steps-for-hardening-
mysql-from-attackers/
http://www.greensql.com/content/mysql-security-best-practices-
hardening-mysql-tips

Recuperacin ante desastres:
http://www.htmlgoodies.com/beyond/security/article.php/3598326


Auditorias y herramientas:
http://www.sans.edu/research/security-laboratory/article/audit-web-apps
http://www.sans.edu/student-
files/presentations/auditing_web_apps_withnotes.pdf
http://www.netcraft.com/security-testing/web-application/
http://wapiti.sourceforge.net

Herramientas de seguridad:
http://www.kali.org/
http://w3af.org